Video: What You Can Learn From The Twitter Hack (November 2024)
Uit het land van " al was het maar… " Als de Associated Press tweefactorauthenticatie met zijn Twitter-account had ingesteld, zouden pro-Syrische hackers het account niet hebben kunnen kapen en schade aanrichten.
Mooi en opgeruimd idee, maar in werkelijkheid niet. Hoewel tweefactorauthenticatie een krachtig hulpmiddel is voor het beveiligen van gebruikersaccounts, kan het niet alle problemen oplossen. Het hebben van twee factoren zou @AP niet hebben geholpen omdat de hackers inbraken via een phishing-aanval. Tegenstanders zouden gewoon een andere manier vinden om gebruikers te misleiden om de beveiligingslaag te omzeilen, zei Aaron Higbee, CTO van PhishMe.
Op dinsdag hebben pro-Syrische hackers het AP Twitter-account gekaapt en een nepnieuwsbericht gepost waarin een explosie in het Witte Huis werd beweerd en dat de president gewond was geraakt. In de drie of vier minuten voordat AP-medewerkers ontdekten wat er gebeurde en zeiden dat het verhaal fout was, raakten beleggers in paniek en zorgden ze ervoor dat het gemiddelde van Dow Jones Industrial meer dan 148 punten bedroeg. Bloomberg News schatte dat de dip $ 136 miljard uit de S&P 500-index "heeft weggevaagd".
Voorspelbaar, een aantal beveiligingsexperts bekritiseerde Twitter onmiddellijk omdat het geen tweefactorauthenticatie bood. "Twitter moet echt tweefactorauthenticatie snel laten uitrollen. Ze lopen hier ver achter op de markt", zei Andrew Storms, directeur beveiligingsactiviteiten bij nCircle, in een e-mail.
Groepen versus individuele accounts
Twee-factor authenticatie maakt het voor aanvallers moeilijker om gebruikersaccounts te kapen met behulp van brute-force methoden of wachtwoorden te stelen via social engineering-methoden. Er wordt ook aangenomen dat er slechts één gebruiker per account is.
"Twee-factor authenticatie en andere maatregelen zullen helpen om hacks tegen individuele accounts te verminderen. Maar niet voor groepsaccounts, " vertelde Sean Sullivan, een beveiligingsonderzoeker bij F-Secure, aan SecurityWatch .
AP had, net als veel andere organisaties, waarschijnlijk meerdere werknemers gedurende de dag op @AP geplaatst. Wat zou er gebeuren wanneer iemand probeert te posten op Twitter? Elke inlogpoging vereist dat de persoon met het geregistreerde apparaat, of het nu een smartphone of een hardwaretoken is, de tweede factorcode opgeeft. Afhankelijk van het aanwezige mechanisme kan dit elke dag, om de paar dagen zijn of wanneer een nieuw apparaat wordt toegevoegd.
"Het wordt een behoorlijk belangrijke wegversperring voor productiviteit, " vertelde Jim Fenton, CSO van OneID, aan SecurityWatch .
Stel dat ik een bericht wil plaatsen op @SecurityWatch. Ik zou moeten chatten of mijn collega die het account "bezit" moeten bellen om de twee-factorcode te krijgen. Of ik hoefde 30 dagen niet in te loggen omdat mijn laptop een geautoriseerd apparaat was, maar nu is het de 31ste dag. En het weekend. Stel je de potentiële mijnenvelden voor social engineering voor.
"Simpel gezegd, tweefactorauthenticatie is niet genoeg om mensen te beschermen, " zei Sullivan.
Two-Factor Authentication Not a Cure-All
Twee-factor authenticatie is een goede zaak, een krachtig hulpmiddel, maar het kan niet alles doen, zoals het voorkomen van phishing-aanvallen, zei Fenton. In feite kunnen gebruikers onder gewone tweefactorauthenticatie-oplossingen eenvoudig worden misleid om toegang te authenticeren zonder het te beseffen, aldus Fenton.
Stel je voor dat ik mijn baas een sms had gestuurd: Kan niet inloggen op @securitywatch. Stuur mij een code?
Twee-factor authenticatie maakt het moeilijker om een account te phishen, maar belet niet dat de aanval succesvol is, zei PhishMe's Higbee. Op de bedrijfsblog illustreerde PhishMe hoe phishing door het omzeilen van twee factoren het aanvalsvenster juist vernauwt.
Eerst klikt de gebruiker op een link in een phishing-e-mail, belandt op een inlogpagina en voert hij het juiste wachtwoord en de geldige tweefactorcode in op de nepwebsite. Op dit moment moet de aanvaller alleen inloggen voordat de geldige inloggegevens verlopen. Organisaties die RSA-tokens gebruiken, kunnen elke 30 seconden een code regenereren, maar voor een sociale-mediasite kan de vervalperiode enkele uren of dagen duren.
"Dit wil niet zeggen dat Twitter geen robuustere authenticatielaag moet implementeren, maar het roept ook de vraag op hoe ver het moet gaan?" Higbee zei, toevoegend dat Twitter oorspronkelijk niet was ontworpen voor groepsgebruik.
Resets zijn een groter probleem
Het implementeren van tweefactorauthenticatie bij de voordeur betekent niet dat de achterdeur een dun slot heeft - een zwak wachtwoordresetproces. Het gebruik van gedeelde geheimen, zoals de meisjesnaam van je moeder, om accounttoegang te maken en te herstellen "is de achilleshiel van de authenticatiepraktijken van vandaag, " zei Fenton.
Wanneer de aanvaller de gebruikersnaam kent, zijn wachtwoordresets gewoon een kwestie van het onderscheppen van de reset-e-mail. Dit kan inhouden inbreken in het e-mailaccount, wat heel goed kan gebeuren.
Hoewel vragen over wachtwoordhints hun eigen problemen hebben, biedt Twitter ze niet eens aan als onderdeel van het resetproces. Het enige dat iemand nodig heeft is de gebruikersnaam. Hoewel er een optie is om 'persoonlijke gegevens nodig te hebben om mijn wachtwoord opnieuw in te stellen', is de enige extra vereiste informatie de gemakkelijk te verkrijgen e-mailadressen en het telefoonnummer.
"Twitter-accounts blijven gehackt worden en Twitter moet verschillende dingen doen om zijn gebruikers te beschermen - niet alleen twee factoren, " zei Sullivan.
